Konfigurace akcí pro nevyhovující zařízení v Intune

Jako součást zásad dodržování předpisů , které chrání prostředky organizace před zařízeními, která nesplňují vaše požadavky na zabezpečení, zahrnují zásady dodržování předpisů také akce při nedodržení předpisů. Akce při nedodržení předpisů jsou jedna nebo více akcí s časovým pořadím, které zásady provádí k ochraně zařízení a vaší organizace. Například akce při nedodržení předpisů může vzdáleně uzamknout zařízení, aby se zajistilo, že je chráněné, nebo odeslat oznámení zařízením nebo uživatelům, které jim pomůže pochopit a vyřešit stav nedodržování předpisů.

Důležité

Microsoft Intune končí podpora správy správců zařízení s Androidem na zařízeních s přístupem k Google Mobile Services (GMS) 30. srpna 2024. Po tomto datu nebude registrace zařízení, technická podpora, opravy chyb a opravy zabezpečení k dispozici. Pokud aktuálně používáte správu správce zařízení, doporučujeme přejít na jinou možnost správy Androidu v Intune před ukončením podpory. Další informace najdete v článku Ukončení podpory pro správce zařízení s Androidem na zařízeních GMS.

Přehled

Ve výchozím nastavení každá zásada dodržování předpisů zahrnuje akci pro nedodržení předpisů Označit zařízení jako nevyhovující s plánem nula dnů (0). Výsledkem tohoto výchozího nastavení je, když Intune zjistí, že zařízení nevyhovuje předpisům, Intune zařízení okamžitě označí jako nevyhovující. Jakmile je zařízení označené jako nevyhovující, Microsoft Entra podmíněný přístup ho může zablokovat.

Konfigurací akcí pro nedodržování předpisů získáte flexibilitu při rozhodování o tom, co a kdy v případě nevyhovujících zařízení dělat. Můžete se například rozhodnout, že zařízení nebudete blokovat okamžitě a poskytnete uživateli lhůtu na dodržování předpisů.

Pro každou akci, kterou nastavíte, můžete nakonfigurovat plán, který určuje, kdy se tato akce projeví. Plán je několik dní poté, co je zařízení označeno jako nevyhovující. Můžete také nakonfigurovat více instancí akce. Když v zásadách nastavíte více instancí akce, akce se spustí znovu v pozdější naplánovaný čas, pokud zařízení nedodržuje předpisy.

Ne všechny akce jsou dostupné pro všechny platformy.

Poznámka

Centrum pro správu Microsoft Intune zobrazuje plán (dny po nedodržení předpisů) ve dnech. Je však možné zadat podrobnější interval (hodiny), pomocí desetinných zlomků, například 0,25 (6 hodin), 0,5 (12 hodin), 1,5 (36 hodin) atd. I když jsou možné i jiné hodnoty, je možné je nakonfigurovat pouze pomocí Microsoft Graphu , a ne prostřednictvím Centra pro správu. Při pokusu o použití jiných hodnot v Centru pro správu, například 0,33 (8 hodin), dojde při pokusu o uložení zásady k chybě.

Dostupné akce pro nedodržování předpisů

Níže jsou uvedené dostupné akce při nedodržení předpisů:

• Označit zařízení jako nevyhovující: Ve výchozím nastavení je tato akce nastavená pro každou zásadu dodržování předpisů a má plán nula (0) dnů a zařízení se okamžitě označí jako nedodržující předpisy.

  Když změníte výchozí plán, poskytnete období odkladu, ve kterém může uživatel napravit problémy nebo se stát kompatibilním, aniž by byl označen jako nedodržovaný.

  Tato akce je podporována na všech platformách podporovaných Intune.

• Odeslat e-mail koncovému uživateli: Tato akce odešle uživateli e-mailové oznámení. Když povolíte tuto akci:

  • Vyberte šablonu zprávy s oznámením , kterou tato akce odešle. Před přiřazením šablony k této akci vytvoříte šablonu zprávy s oznámením. Při vytváření vlastního oznámení přizpůsobíte národní prostředí, předmět, text zprávy a můžete zahrnout logo společnosti, název společnosti a další kontaktní informace.
  • Výběrem jedné nebo více skupin Microsoft Entra můžete zprávu odeslat více příjemcům.

  Intune používá e-mailovou adresu definovanou v profilu koncového uživatele, a ne hlavní název uživatele (UPN). Pokud v profilu uživatele není definovaná žádná definovaná e-mailová adresa, pak Intune neodesílá e-mail s oznámením. Po odeslání e-mailu Intune do e-mailového oznámení zahrne podrobnosti o zařízení, které nedodržuje předpisy.

  Tato akce je podporována na všech platformách podporovaných Intune.

  Poznámka

  E-maily s oznámeními se odesílají z: microsoft-noreply@microsoft.com

  Ujistěte se, že nemáte žádné zásady poštovní schránky, které by bránily doručování e-mailů z těchto adres, jinak koncoví uživatelé nemusí dostávat e-mailové oznámení.

  Před prosincem 2022 se e-maily s oznámeními v komerčním cloudu odesílaly z: IntuneNotificationService@microsoft.com

• Vzdálené uzamčení nevyhovujícího zařízení: Tato akce slouží k vydání vzdáleného zámku zařízení. Uživateli se pak zobrazí výzva k zadání KÓDU PIN nebo hesla k odemknutí zařízení. Další informace o funkci Vzdálené uzamčení .

  Tuto akci podporují následující platformy:

  • Správce zařízení s Androidem
  • Android (AOSP)
  • Android Enterprise:
    • Plně spravovaná
    • Vyhrazené
    • pracovní profil Corporate-Owned
    • Pracovní profil v osobním vlastnictví
    • Zařízení s androidem Enterprise v beznabídkovém režimu
  • iOS/iPadOS
  • macOS

• Přidání zařízení do seznamu vyřazení: Když se tato akce provede na zařízení, přidá se zařízení do seznamu vyřazených zařízení nesplňujících předpisy v Centru pro správu Intune. Seznam zobrazíte tak, že přejdete do částiDodržování předpisůzařízením> a vyberete kartu Vyřadit zařízení nedodržující předpisy. Zařízení se ale nevyřadí, dokud správce explicitně nezahájí proces vyřazení. Když správce zařízení ze seznamu vyřadí, odebere ze zařízení všechna firemní data a odebere toto zařízení ze správy Intune.

  Tuto akci podporují následující platformy:

  • Správce zařízení s Androidem
  • Android (AOSP)
  • Android Enterprise:
    • Plně spravovaná
    • Vyhrazené
    • pracovní profil Corporate-Owned
    • Pracovní profil v osobním vlastnictví
  • iOS/iPadOS
  • macOS
  • Windows 10/11

  Poznámka

  Na kartě Vyřazení vybraných zařízení se zobrazí jenom zařízení, u kterých se aktivovala akce Přidat zařízení k vyřazení ze seznamu. Pokud chcete zobrazit seznam všech zařízení, která nedodržují předpisy, podívejte se na sestavu nevyhovujících zařízení uvedenou v tématu Monitorování zásad dodržování předpisů zařízením.

  Pokud chcete ze seznamu vyřadit jedno nebo více zařízení, vyberte zařízení, která chcete vyřadit, a pak vyberte Vyřadit vybraná zařízení. Když zvolíte akci, která zařízení vyřadí, zobrazí se dialogové okno pro potvrzení akce. Teprve po potvrzení záměru vyřadit zařízení z podnikových dat a odebrat je ze správy Intune.

  Mezi další možnosti patří Vyřazení všech zařízení, Vymazat stav vyřazení všech zařízení a Vymazat stav vyřazení vybraných zařízení. Vymazání stavu vyřazení zařízení odebere zařízení ze seznamu zařízení, která je možné vyřadit, dokud se akce Přidat seznam zařízení k vyřazení znovu nepoužije.

  Přečtěte si další informace o vyřazení zařízení.

• Odeslání nabízeného oznámení koncovému uživateli: Nakonfigurujte tuto akci, aby se do zařízení prostřednictvím aplikace Portál společnosti nebo aplikace Intune na zařízení odeslalo nabízené oznámení o nedodržování předpisů.

  Tuto akci podporují následující platformy:

  • Správce zařízení s Androidem
  • Android Enterprise:
    • Plně spravovaná
    • Vyhrazené
    • pracovní profil Corporate-Owned
    • Pracovní profil v osobním vlastnictví
  • iOS/iPadOS

  Nabízené oznámení se odešle při prvním přihlášení zařízení k Intune a zjistí se, že nevyhovuje zásadám dodržování předpisů. Když uživatel vybere oznámení, otevře se aplikace Portál společnosti nebo aplikace Intune a zobrazí informace o tom, proč nedodržují předpisy. Uživatel pak může podniknout kroky k vyřešení problému. Podrobnosti zprávy o nedodržování předpisů vygeneruje Intune a nedá se přizpůsobit.

  Důležité

  Intune, aplikace Portál společnosti a aplikace Microsoft Intune nemůžou zaručit doručení nabízeného oznámení. Oznámení se můžou zobrazit po několika hodinách zpoždění, pokud vůbec. To platí i v případě, že uživatelé vypnuli nabízená oznámení.

  Nespoléhejte na tuto metodu oznámení pro naléhavé zprávy.

  Každá instance akce odešle oznámení jednou. Pokud chcete znovu odeslat stejné oznámení ze zásady, nakonfigurujte v této zásadě více instancí akce, z nichž každá má jiný plán.

  Můžete například naplánovat první akci na nula dnů a pak přidat druhou instanci akce nastavené na tři dny. Toto zpoždění před druhým oznámením poskytuje uživateli několik dní na vyřešení problému a vyhnout se druhému oznámení.

  Pokud se chcete vyhnout spamování uživatelů s příliš mnoha duplicitními zprávami, zkontrolujte a zjednodušte, které zásady dodržování předpisů obsahují nabízená oznámení o nedodržování předpisů, a zkontrolujte plány, abyste se vyhnuli opakování oznámení pro stejné zprávy příliš často.

  Zvážit:

  • Pro jednu zásadu, která zahrnuje více instancí nabízeného oznámení nastaveného pro stejný den, se pro daný den odešle jenom jedno oznámení.

  • Pokud více zásad dodržování předpisů zahrnuje stejné podmínky dodržování předpisů a akci nabízených oznámení se stejným plánem, Intune odešle více oznámení do stejného zařízení ve stejný den.

Poznámka

Následující akce při nedodržení předpisů se nepodporují u zařízení spravovaných partnerem pro správu dodržování předpisů zařízením:

• Odeslání e-mailu koncovému uživateli
• Vzdálené uzamčení nevyhovujícího zařízení
• Přidání seznamu zařízení k vyřazení
• Odeslání nabízeného oznámení koncovému uživateli

Než začnete

Akce pro nedodržení předpisů můžete přidat při konfiguraci zásad dodržování předpisů zařízením nebo později úpravou zásad. Ke každé zásadě můžete přidat další akce, které vyhovují vašim potřebám. Mějte na paměti, že každá zásada dodržování předpisů automaticky zahrnuje výchozí akci při nedodržení předpisů, která označuje zařízení jako nevyhovující, s plánem nastaveným na nula dnů.

Pokud chcete používat zásady dodržování předpisů zařízením k blokování zařízení z podnikových prostředků, musí být nastavený Microsoft Entra podmíněný přístup. Pokyny najdete v tématu Podmíněný přístup v Microsoft Entra ID nebo běžné způsoby použití podmíněného přístupu s Intune.

Pokud chcete vytvořit zásady dodržování předpisů zařízením, projděte si následující doprovodné materiály pro konkrétní platformu:

• Android
• Android (AOSP)
• Pracovní profily Androidu
• iOS
• macOS
• Windows

Vytvoření šablony zprávy s oznámením

Pokud chcete uživatelům posílat e-maily, vytvořte šablonu zprávy s oznámením a přidružte ji k zásadám dodržování předpisů jako akci při nedodržení předpisů. Když pak zařízení nedodržuje předpisy, podrobnosti, které zadáte do šablony, se zobrazí v e-mailu odeslaném vašim uživatelům.

Šablona zprávy s oznámením může obsahovat více zpráv, z nichž každá má jiné národní prostředí. Když zadáte více zpráv a národních prostředí, koncoví uživatelé, kteří nedodržují předpisy, obdrží příslušnou lokalizovanou zprávu na základě preferovaného jazyka O365.

Přidáním proměnných do zprávy vytvoříte přizpůsobený e-mail s dynamickým obsahem. Následující tabulka popisuje proměnné, které můžete použít v řádku předmětu a textu zprávy.

Název proměnné	Token, který se má použít	Popis
Uživatelské jméno	{{UserName}}	Přidejte název primárního uživatele zařízení, které nedodržuje předpisy. Například: John Doe
Název zařízení	{{DeviceName}}	Přidejte název zařízení, které nedodržuje předpisy, jak je zaznamenané v Microsoft Intune. Například: John's iPad
ID zařízení	{{DeviceId}}	Přidejte ID Intune zařízení, které patří do nevyhovujícího zařízení. Například: 12ab345c-6789-def0-1234-000000000000
Verze operačního systému zařízení	{{OSAndVersion}}	Přidejte operační systém a verzi zařízení, které nedodržuje předpisy. Například: Android 12

Vytvoření šablony

1. Přihlaste se do Centra pro správu Microsoft Intune.

2. Vyberte Zabezpečení >koncového boduOznámení o>dodržování předpisů> zařízenímVytvořit oznámení.

3. Na stránce Základy dejte šabloně popisný název, který vám pomůže ji identifikovat. Pak vyberte Další.

4. Na stránce Nastavení záhlaví a zápatí přidejte podrobnosti a logo vaší společnosti.

   

   Možnosti:

   • záhlaví Email – Zobrazit logo společnosti (výchozí nastavení = Povolit) – Nahrajte logo pro přidání brandingu vaší organizace do e-mailových šablon. Další informace o Portál společnosti brandingu najdete v tématu Přizpůsobení brandingu identity společnosti.
   • Email zápatí – Zobrazit název společnosti (výchozí nastavení = Povolit) – Povolením tohoto nastavení zobrazíte název vaší společnosti v e-mailu. Pokud chcete zkontrolovat název společnosti v záznamu, podívejte se na hodnotu tenanta .
   • Email zápatí – Zobrazení kontaktních informací (výchozí = Povolit) – Povolením tohoto nastavení zobrazíte v e-mailu kontaktní údaje vaší organizace, jako je jméno, telefonní číslo a e-mailová adresa. Pokud chcete zkontrolovat kontaktní informace v záznamu, podívejte se na hodnotu tenanta .
   • Email zápatí – Zobrazit odkaz na web portálu společnosti (výchozí nastavení = Zakázat) – Povolením tohoto nastavení zahrnete do e-mailu odkaz na Portál společnosti web. Pokud chcete zkontrolovat odkaz na web zobrazený uživatelům, přečtěte si téma Hodnota tenanta .

   Pokračujte výběrem možnosti Další .

5. Na stránce Šablony zpráv oznámení nakonfigurujte jednu nebo více zpráv. Pro každou zprávu zadejte následující podrobnosti:

   • Národní prostředí: Vyberte jazyk, který koreluje s národním prostředím uživatele zařízení.
   • Předmět: Přidejte řádek předmětu e-mailu. Můžete zadat až 78 znaků.
   • Nezpracovaný editor HTML: Zapněte editor HTML, abyste při přidávání formátování HTML a odkazů na zprávu dostávali návrhy. Pomocí atributu href můžete přidat odkaz (musí to být adresa URL https). Mezi podporované značky HTML patří: <a>, <strong>, <b>, <u><ol>, <ul>, <li>, <p>, <br>, <code>, <table>, <tbody>, , <tr>, <td>, , <thead>. <th> Nemusíte používat editor HTML a můžete přidat podporovaný kód HTML bez zapnutí editoru.
   • Zpráva: Vytvořte zprávu s vysvětlením důvodu nedodržování předpisů. Můžete zadat až 2 000 znaků.

   Pokud chcete vytvořit šablonu s dynamickým obsahem, vložte token podporované proměnné do řádku předmětu nebo zprávy. Seznam podporovaných proměnných najdete v tabulce v části Vytvoření šablony oznámení v tomto článku.

   Důležité

   V textu zprávy používejte pouze Intune podporované značky a atributy HTML. Intune bude odesílat zprávy, které obsahují jiné typy značek, elementů nebo stylů, jako prostý text místo formátu HTML. To zahrnuje zprávy, které obsahují:

   • CSS
   • Značky a atributy, které nejsou uvedené v tomto článku

   Poznámka

   Intune převede nové znaky čáry ve stylu Windows na <br> Značky HTML ale ignorují všechny ostatní typy nových znaků řádků, včetně těch pro macOS a Linux. Pokud chcete zajistit správné vykreslení konců řádků v šablonách, doporučujeme použít <br> značku k označení konce řádku.

6. Zaškrtněte políčko Je výchozí pro jednu ze zpráv. Intune odešle výchozí zprávu uživatelům, kteří nenastavili upřednostňovaný jazyk, nebo pokud šablona neobsahuje konkrétní zprávu pro jejich národní prostředí. Jako výchozí lze nastavit pouze jednu zprávu. Pokud chcete zprávu odstranit, vyberte tři tečky (...) a pak Odstranit.

   Pokračujte výběrem možnosti Další .

7. Na stránce Značky oboru vyberte značky, abyste omezili viditelnost a správu této zprávy na konkrétní skupiny Intune správců, například US-NC IT Team nebo JohnGlenn_ITDepartment. Další informace o značkách oboru najdete v tématu Použití RBAC a značek oboru pro distribuované IT.

   Pokračujte výběrem možnosti Další .

8. Na stránce Zkontrolovat a vytvořit zkontrolujte konfigurace a ujistěte se, že je šablona zprávy s oznámením připravená k použití. Výběrem možnosti Vytvořit dokončete vytváření oznámení.

Zobrazení a úprava oznámení

Vytvořená oznámení jsou k dispozici na stránceOznámenízásad> dodržování předpisů. Na stránce můžete vybrat oznámení a zobrazit jeho konfiguraci a:

• Vyberte Odeslat e-mail s náhledem a odešlete náhled e-mailu s oznámením na účet, který jste použili k přihlášení k Intune.

  Pokud chcete úspěšně odeslat e-mail s náhledem, musí mít váš účet oprávnění rovna následujícím Microsoft Entra skupinám nebo Intune rolím: Microsoft Entra globální správce, správce Intune (Intune Microsoft Entra Intune správce služeb) nebo správce zásad a profilů Intune.

• Pokud chcete provést změnu, vyberte Upravit u značekZáklady nebo Obor.

Poznámka

E-mail s náhledem neobsahuje proměnné zařízení zadané v šabloně zprávy oznámení.

Přidání akcí pro nedodržení předpisů

Když vytvoříte zásadu dodržování předpisů zařízením, Intune automaticky vytvoří akci pro nedodržení předpisů. Pokud zařízení nesplňuje vaše zásady dodržování předpisů, označí tato akce zařízení jako nevyhovující předpisům. Můžete přizpůsobit, jak dlouho bude zařízení označené jako nevyhovující. Tuto akci nelze odebrat.

Volitelné akce můžete přidat při vytváření zásad dodržování předpisů nebo při aktualizaci existujících zásad.

1. Přihlaste se do Centra pro správu Microsoft Intune.

2. Přejděte naDodržování předpisůzařízením>.

3. Vyberte zásadu a pak vyberte Vlastnosti.

   Ještě nemáte zásadu? Vytvořte zásadu platformy pro Android, iOS, Windows nebo jinou platformu.

   Poznámka

   Zařízení spravovaná externími partnery pro dodržování předpisů zařízeními, na která cílí skupiny zařízení, v tuto chvíli nemůžou přijímat akce dodržování předpisů.

4. Vyberte Akce pro nedodržování předpisů>Upravit.

5. Vyberte akci:

   • Odeslání e-mailu koncovým uživatelům: Pokud zařízení nedodržuje předpisy, zvolte, že chcete uživateli poslat e-mail. Také:

     • Zvolte šablonu Zprávy , kterou jste vytvořili dříve.
     • Výběrem skupin zadejte libovolné další příjemce .

   • Vzdálené uzamčení nevyhovujícího zařízení: Pokud zařízení nedodržuje předpisy, zamkněte ho. Tato akce vynutí, aby uživatel zadal PIN kód nebo heslo k odemknutí zařízení.

   • Přidání zařízení do seznamu vyřazení: Pokud zařízení nedodržuje předpisy, odeberte ze zařízení všechna firemní data a odeberte zařízení ze správy Intune.

   • Odeslání nabízeného oznámení koncovému uživateli: Nakonfigurujte tuto akci, aby se do zařízení prostřednictvím aplikace Portál společnosti nebo aplikace Intune na zařízení odeslalo nabízené oznámení o nedodržování předpisů.

6. Konfigurace plánu: Zadejte počet dnů (0 až 365) po nedodržování předpisů, aby se akce aktivovala na zařízeních uživatelů. Po uplynutí této doby odkladu můžete vynutit zásady podmíněného přístupu . Pokud zadáte 0 (nula) počet dnů, projeví se podmíněný přístup okamžitě. Pokud například zařízení nedodržuje předpisy, pomocí podmíněného přístupu okamžitě zablokujte přístup k e-mailu, SharePointu a dalším prostředkům organizace.

   Když vytvoříte zásadu dodržování předpisů, automaticky se vytvoří akce Označit zařízení jako nevyhovující a automaticky se nastaví na 0 dnů (okamžitě). Když se zařízení přihlásí pomocí této akce Intune a vyhodnotí zásadu, Intune zařízení okamžitě označí jako nedodržující předpisy. Pokud se klient přihlásí později po nápravě problémů, které vedly k nedodržení předpisů, aktualizuje se jeho stav na nový stav dodržování předpisů. Pokud používáte podmíněný přístup, použijí se tyto zásady také, jakmile se zařízení označí jako nevyhovující. Pokud chcete nastavit období odkladu, které umožní napravit stav nedodržování předpisů, než bude zařízení označeno jako nevyhovující, změňte plán akce Označit zařízení jako nevyhovující .

   V zásadách dodržování předpisů chcete například také upozornit uživatele. Můžete přidat akci Odeslat e-mail koncovému uživateli . U této akce Odeslat e-mail nastavíte plán na dva dny. Pokud je zařízení nebo koncový uživatel i druhý den stále vyhodnocen jako nevyhovující předpisům, odešle se váš e-mail druhý den. Pokud chcete uživateli znovu poslat e-mail v den pátého nedodržování předpisů, přidejte další akci a nastavte Plán na pět dní.

   Další informace o dodržování předpisů a předdefinovaných akcích najdete v přehledu dodržování předpisů.

7. Až budete hotovi, vyberte Přidat>OK a uložte změny.

Další kroky

Monitorujte své zásady.